Créer un profil d’aptitude pour l’intégration CrowdStrike Falcon Insight

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Créez un profil et sélectionnez les CrowdStrike Falcon Insight options que vous souhaitez que le profil exécute.

    Avant de commencer

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    Réfléchissez aux raisons pour lesquelles vous souhaitez créer un profil avant d’y ajouter CrowdStrike Falcon Insight des options. Le tableau suivant répertorie les options que vous devez ajouter à un profil lorsque vous souhaitez que le profil effectue certaines requêtes ou actions.

    Vous pouvez créer un profil unique qui exécute des requêtes pour obtenir des détails sur le système, répertorie les utilisateurs connectés, extrait les services en cours d’exécution, extrait les processus en cours, récupère les statistiques réseau, isole l’hôte et supprime l’hôte isolé. Vous pouvez également créer plusieurs profils, chacun avec sa propre option.
    Remarque :
    Les options Isoler l’hôte, Supprimer l’isolement et Obtenir un fichier ne peuvent pas être fusionnées avec d’autres options lors de la création d’un profil.
    Tableau 1. Types de profils et options de CrowdStrike Falcon Insight requises
    Objectif du profil Options de CrowdStrike
    Collecter les détails de l’hôte et les utilisateurs connectés
    • Obtenir les détails de l'hôte
    • Obtenir les utilisateurs connectés
    Extraire les statistiques, les processus et les services réseau en cours d’exécution pour un hôte
    • Obtenir les statistiques réseau
    • Obtenir les processus en cours d’exécution
    • Obtenir les services d'exécution
    Isoler un hôte Isoler l’hôte
    Supprimer l’isolement d’un hôte Supprimer l'isolement
    Obtenir un fichier à partir d’un point de terminaison hôte Obtenir un fichier

    Procédure

    1. Accédez à la Tous > Intégration de CrowdStrike Falcon Insight > Profils des aptitudes de CrowdStrike.
    2. Cliquez sur Nouveau.
    3. Sur le formulaire, renseignez les champs.
      Champ Description
      Nom Nom du nouveau profil d’aptitude.

      Ce nom vous permet d’identifier le type de profil et constitue également le nom par défaut de la balise de sécurité associée à ce profil.
      Actif Indique si le profil est actif ou non.

      Lorsque le profil est actif, il se déclenche automatiquement lorsqu’un incident de sécurité correspondant aux conditions de filtrage spécifiées dans la configuration est créé.
      Description Description unique du profil d’aptitude.
      Source Nom du serveur. Vous ne pouvez afficher que les serveurs précédemment configurés à partir de la liste.
      Ordre

      Priorité du flux. La valeur de ce champ indique l’ordre dans lequel les flux sont exécutés lorsque deux profils ou plus partagent des conditions de déclenchement.

      Le flux dont le numéro est le plus bas a la priorité la plus élevée. Pour définir l’ordre d’opération, saisissez une valeur. Par exemple, 100, 200, 300, 400.

      Par défaut : 100
      Options de CrowdStrike Falcon Insight Fonctionnalités du profil CrowdStrike Falcon Insight.

      Sélectionnez les options que vous souhaitez pour ce profil dans la colonne Disponible dans Sélectionné.

      L’exemple suivant montre un formulaire complet pour un profil avec l’option Obtenir les détails du système.

      Détails du profil Falcon Insight.
    4. Cliquez sur Suivant.

    Que faire ensuite

    Vous pouvez maintenantconfigurer votre profil. Assurez-vous d’avoir passé en revue les concepts de configuration des profils et des conditions de déclenchement avant de configurer le profil.